文章总结： BloodyWolf组织利用NetSupportRAT针对乌俄发动钓鱼攻击，目标涵盖金融等多领域。攻击通过恶意PDF下载加载程序实现持久化，并发现Mirai载荷。此外，ExCobalt等组织也针对俄方实施攻击，利用凭证窃取、Rootkit等工具，显示该区域网络威胁形势严峻。 综合评分： 85 文章分类： 威胁情报,恶意软件,WEB安全

Bloody Wolf 利用 NetSupport RAT 在鱼叉式网络钓鱼活动中攻击乌兹别克斯坦和俄罗斯

原创

网络安全9527 网络安全9527

安全圈的那点事儿

2026年2月10日 08:33 辽宁

名为Bloody Wolf 的威胁行为者与一项针对乌兹别克斯坦和俄罗斯的活动有关，该活动旨在利用名为NetSupport RAT的远程访问木马感染系统。

网络安全厂商卡巴斯基正在追踪名为“Stan Ghouls”的黑客组织的活动。据悉，该黑客组织至少从2023年起就十分活跃，对俄罗斯、吉尔吉斯斯坦、哈萨克斯坦和乌兹别克斯坦的制造业、金融业和IT行业发起鱼叉式网络钓鱼攻击。

据估计，此次攻击活动在乌兹别克斯坦造成约50人感染，俄罗斯也有10台设备受到影响。哈萨克斯坦、土耳其、塞尔维亚和白俄罗斯也发现了程度较轻的感染案例。此外，政府机构、物流公司、医疗机构和教育机构的设备也遭到了攻击。

卡巴斯基指出：“鉴于Stan Ghouls的目标是金融机构，我们认为他们的主要动机是获取经济利益。不过，他们大量使用远程访问木马（RAT）也可能暗示着网络间谍活动。”

此次攻击者滥用合法的远程管理工具 NetSupport，与此前使用 STRRAT（又名 Strigoi Master）的攻击手法有所不同。2025 年 11 月，Group-IB记录了针对吉尔吉斯斯坦境内实体的网络钓鱼攻击，旨在传播该工具。

攻击链相当简单明了：利用包含恶意PDF附件的网络钓鱼邮件作为跳板来触发感染。这些PDF文档中嵌入了链接，点击这些链接会下载一个恶意加载程序，该程序会执行多种任务——

• 显示虚假错误信息，使受害者误以为该应用程序无法在其计算机上运行。
• 检查之前的 RAT 安装尝试次数是否少于三次。如果次数达到或超过限制，加载程序将抛出错误消息：“已达到尝试次数限制。请尝试使用其他计算机。”
• 从几个外部域名之一下载 NetSupport RAT 并启动它。
• 要确保 NetSupport RAT 的持久性，请在启动文件夹中配置自动运行脚本，将 NetSupport 启动脚本（“run.bat”）添加到注册表的自动运行项，并创建一个计划任务来触发执行同一批处理脚本。

卡巴斯基表示，他们还在与 Bloody Wolf 相关的基础设施上发现了Mirai 僵尸网络有效载荷，这表明该威胁行为者可能已经扩大了其恶意软件库，以攻击物联网设备。

该公司总结道：“此次攻击目标超过60个，对于一场精心策划的定向攻击活动来说，这是一个惊人的数字。这表明这些攻击者愿意为他们的行动投入大量资源。”

此次披露正值多起针对俄罗斯组织的网络攻击事件发生之际，其中包括ExCobalt发起的攻击。ExCobalt利用已知的安全漏洞和从承包商处窃取的凭证，获取了目标网络的初始访问权限。Positive Technologies公司将该攻击者描述为攻击俄罗斯实体的“最危险的组织之一”。

这些攻击的特点是使用各种工具，并试图从受感染的主机窃取 Telegram 凭据和消息历史记录，以及通过向登录页面注入恶意代码来窃取Outlook Web Access 凭据-

• CobInt是该组织使用的已知后门。
• 诸如 Babuk 和 LockBit 之类的储物柜。
• PUMAKIT是一款内核级 rootkit ，用于提升权限、隐藏文件和目录，并躲避系统工具的检测。此前，PUMAKIT 还衍生出 Facefish（2021 年 2 月）、Kitsune（2022 年 2 月）和 Megatsune（2023 年 11 月）等版本。BI.ZONE 指出，Kitsune 的使用与一个名为Sneaky Wolf（又名 Sneaking Leprechaun）的威胁集群有关。
• Octopus 是一个基于 Rust 的工具包，用于提升被入侵的 Linux 系统中的权限。

Positive Technologies 表示：“该组织改变了最初的入侵策略，将注意力从利用互联网上可访问的企业服务（例如 Microsoft Exchange）中的一日漏洞转移到通过承包商渗透主要目标的基础设施。”

俄罗斯的国家机构、科研企业和IT组织也成为了一个名为“惩罚猫头鹰”（Punishing Owl）的未知威胁组织的攻击目标。该组织通过暗网窃取和泄露数据。据信，该组织是一个具有政治动机的黑客行动主义团体，自2025年12月以来一直活跃，其一个社交媒体账户由哈萨克斯坦方面控制。

这些攻击利用钓鱼邮件，邮件中包含一个受密码保护的 ZIP 压缩包。打开该压缩包后，会发现其中包含一个伪装成 PDF 文档的 Windows 快捷方式 (LNK)。打开该 LNK 文件会执行 PowerShell 命令，从远程服务器下载名为 ZipWhisper 的数据窃取程序，窃取敏感数据并将其上传到同一服务器。

另一个将目标锁定在俄罗斯和白俄罗斯的威胁组织是Vortex Werewolf。该组织攻击的最终目标是部署 Tor 和 OpenSSH，从而实现持久远程访问。Cyble 和 Seqrite Labs 于 2025 年 11 月曝光了此次攻击活动，后者将其称为“天幕行动”（Operation SkyCloak）。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈的那点事儿 网络安全9527 网络安全9527《Bloody Wolf 利用 NetSupport RAT 在鱼叉式网络钓鱼活动中攻击乌兹别克斯坦和俄罗斯》